丹麦安全商Secunia等8月16日公开了Internet Explorer（IE）中发现的新安全漏洞（英文），如果访问做过手脚的Web网页，地址栏就会显示与实际访问网站不符的URL。这是一个可能被在线欺诈“phishing”等恶意利用的安全漏洞，目前尚未公开补丁等，对策是不要点击可疑的链接，或将活动脚本设置为无效等。
　　安全漏洞由Liu Die Yu发现。Secunia在验证其投至安全相关邮件列表的投稿后，在自己的网站上公开此次的漏洞。Secunia已确认：在安装所有补丁的Windows 2000 SP4与XP SP1中运行的IE 6中均存在此漏洞。另外，以前版本也可能受到影响。不过，对于Windows XP SP2，该公司表示无法使用目前已知的攻击手段（没有明确“不会受到影响”）。

　　据Secunia介绍，出现此次安全漏洞的原因是IE不能适时更新地址栏信息。IE打开新的浏览器窗口，并在这一窗口上实施一系列动作后，就会在地址栏里显示与实际页面不符的的URL。如果突破这一安全漏洞，可以把带有恶意的网页伪装成著名企业的网页。

　　图片为Secunia公开的示范网页（点击放大图片（英文）），虽然地址栏中显示“www.yahoo.com”，但实际上却是Secunia的网页。

　　美国微软尚未公开安全信息与补丁。Secunia指出，对策是将IE的活动脚本设置为无效，或使用其他的浏览器。另外，重要的一点就是不要轻易点击不可靠的Web网站与邮件中的链接。只要不访问做过手脚的Web网页，地址栏就不会被伪装。

デンマークSecuniaなどは8月16日，Internet Explorer（IE）に見つかった新たなセキュリティ・ホールを公表した。細工が施されたWebページへアクセスすると，実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺「フィッシング」などに悪用可能なセキュリティ・ホールである。パッチなどは公開されていない。対策は，怪しいリンクをクリックしないことや，アクティブスクリプトを無効にすることなど。

　セキュリティ・ホールを発見したのは，Liu Die Yu氏。同氏がセキュリティ関連メーリング・リングに投稿した内容を，Secuniaが検証して同社のサイトで公表した。Secuniaでは，すべてのパッチを適用したWindows 2000 SP4およびXP SP1で稼働するIE 6で，今回のセキュリティ・ホールを確認した。また，これら以前のバージョンでも，影響を受けるだろうとしている。ただし，Windows XP SP2に対しては，現在考えられている攻撃手法は使えないという（「影響を受けない」とは明言していない）。

　Secuniaによると，今回のセキュリティ・ホールは，IEがアドレス・バーの情報を適切に更新できないことが原因。IEが新しいブラウザ・ウインドウを開いて，そのウインドウ上である一連のアクションを実施すると，アドレス・バーの表示と実際に表示しているページのURLが一致しなくなる。このセキュリティ・ホールを突けば，悪意があるページを有名企業のページに見せかけることができる。

　写真はSecuniaが公開するデモ・ページ（写真の拡大表示）。アドレス・バーの表示は「www.yahoo.com」だが，表示されているのはSecuniaのページである。

　米Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは，対策としてIEのアクティブスクリプトを無効にすることと，別のブラウザを使うことを挙げている。信頼できないWebサイトやメール中のリンクを安易にクリックしないことも重要である。細工を施したWebページにアクセスしなければ，アドレス・バーを偽装されることはない。